GBT 34136-2017 機(jī)械電氣安全 GB 28526和GBT 16855.1用于機(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)的應(yīng)用指南

GB/T34136—2017/IEC/TR62061-1:2010機(jī)械電氣安全GB28526和相關(guān)控制系統(tǒng)設(shè)計(jì)的應(yīng)用指南(IEC/TR62061-1:2010,GuidanceontheapplicationofISO13849-1andIEC62061inthedesignofsafety-relatedcontrolsystemsformachinery,IDT)GB/T34136—2017/IEC/TR62061-1:2010本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)使用翻譯法等同采用IEC/TR62061-1:2010《ISO13849-1和IEC62061中用于機(jī)械的安全本標(biāo)準(zhǔn)做了下列編輯性修改：——為了與其他相應(yīng)的標(biāo)準(zhǔn)名稱相協(xié)調(diào)，標(biāo)準(zhǔn)名稱改為《機(jī)械電氣安全GB28526和GB/T16855.1本標(biāo)準(zhǔn)由中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)提出。本標(biāo)準(zhǔn)由全國(guó)工業(yè)機(jī)械電氣系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC231)歸口。I1GB/T34136—2017/IEC/TR62061-1:2010機(jī)械電氣安全GB28526和GB/T16855.1用于機(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)的應(yīng)用指南本標(biāo)準(zhǔn)規(guī)定了GB28526和GB/T16855.1用于機(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)的應(yīng)用指南。2.1GB28526和GB/T16855.1均規(guī)定了機(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)和實(shí)施的相關(guān)要求。這兩項(xiàng)標(biāo)2.2這兩項(xiàng)標(biāo)準(zhǔn)將所執(zhí)行安全功能的安全相關(guān)控制系統(tǒng)，根據(jù)每小時(shí)的危險(xiǎn)失效概率進(jìn)行分級(jí)。GB/T16855.1分為5個(gè)性能等級(jí)(PL):a、b、c、d和e;而GB28526則分為3個(gè)安全完整性等級(jí)(SIL):1、2和3。2.3產(chǎn)品標(biāo)準(zhǔn)(C類)技術(shù)委員會(huì)規(guī)定的安全相關(guān)控制系統(tǒng)的安全要求，建議這些技術(shù)委員會(huì)按照PL和SIL所要求的置信度等級(jí)進(jìn)行分類。2.4機(jī)械設(shè)計(jì)人員可按照具體的應(yīng)用特點(diǎn)選用GB28526或GB/T16855.1標(biāo)準(zhǔn)?！跈C(jī)械安全相關(guān)控制系統(tǒng)設(shè)計(jì)中，以往的知識(shí)和經(jīng)驗(yàn)是基于GB/T16855.1—2008描述的類——基于介質(zhì)不是電氣技術(shù)的安全相關(guān)控制系統(tǒng)，則——用戶要求以術(shù)語SIL證明機(jī)械安全相關(guān)控制系統(tǒng)的安全完整性等級(jí)時(shí)，則使用GB28526更3標(biāo)準(zhǔn)對(duì)比3.1GB/T16855.1和GB28526的技術(shù)要求對(duì)比如下：3.2此外，這兩項(xiàng)標(biāo)準(zhǔn)均給出了用于評(píng)估的每小時(shí)危險(xiǎn)失效概率(PFHp)和平均失效間隔時(shí)間2GB/T34136—2017/IEC/TR62061-1:20103.3標(biāo)準(zhǔn)對(duì)比結(jié)論如下：——通過集成按照GB28526或GB/T16855.1標(biāo)準(zhǔn)要求設(shè)計(jì)的非復(fù)雜的安全相關(guān)電氣控制系統(tǒng)(SRECS)的子系統(tǒng)或控制系統(tǒng)安全相關(guān)部件(SRP/CS),使用這兩項(xiàng)標(biāo)準(zhǔn)中的任一項(xiàng)設(shè)計(jì)的安全相關(guān)控制系統(tǒng)均能達(dá)到可接受的功能安全等級(jí)；——通過集成按照GB/T20438設(shè)計(jì)的電氣/電子/可編程電子設(shè)備的子系統(tǒng)，這兩項(xiàng)標(biāo)準(zhǔn)也可用于為復(fù)雜的SRECS和SRP/CS提供設(shè)計(jì)的解決方法；——目前機(jī)械行業(yè)使用這兩項(xiàng)標(biāo)準(zhǔn)是有意義的，經(jīng)驗(yàn)表明使用者將受益。一段合理時(shí)期的實(shí)際應(yīng)用反饋，對(duì)于推動(dòng)GB28526和GB/T16855.1這兩項(xiàng)標(biāo)準(zhǔn)內(nèi)容的合并是必需的；——由于細(xì)節(jié)上存在著差異，及某些概念(例如功能安全管理)需要進(jìn)一步工作以建立各自設(shè)計(jì)方法和一些技術(shù)要求之間的對(duì)應(yīng)關(guān)系。4風(fēng)險(xiǎn)評(píng)估和所需性能分配4.1對(duì)具體安全功能分配SIL和/或PL,的方法進(jìn)行比較。每個(gè)標(biāo)準(zhǔn)的附錄A中各自提供的方法之間有很好的對(duì)應(yīng)等級(jí)。4.2無論使用哪種方法，注意確保對(duì)風(fēng)險(xiǎn)參數(shù)進(jìn)行適當(dāng)?shù)呐袛?，以確定能夠適用于具體安全功能的SIL和/或PLr。這種判斷最好讓相關(guān)人員(如設(shè)計(jì)、維護(hù)和操作人員)共同參與，以確保正確理解機(jī)械可能出現(xiàn)的危險(xiǎn)。4.3有關(guān)風(fēng)險(xiǎn)評(píng)估過程和性能目標(biāo)分配的更多信息可見GB/T15706和GB/T20438.5。5安全要求規(guī)范5.1GB/T16855.1和GB28526各自的方法在第一階段均要求安全功能由安全相關(guān)控制系統(tǒng)實(shí)現(xiàn)。5.2對(duì)控制電路執(zhí)行的每一項(xiàng)安全功能應(yīng)進(jìn)行評(píng)估，例如使用GB/T16855.1附錄A或GB28526的附錄A。宜確定每臺(tái)機(jī)械的具體安全功能提供怎樣的風(fēng)險(xiǎn)降低水平，依次確定執(zhí)行該安全功能的控制電路所要求置信度等級(jí)。5.3PL和/或SIL給定的置信度等級(jí)與具體的安全功能有關(guān)。5.4以下顯示的與安全功能相關(guān)信息宜由產(chǎn)品標(biāo)準(zhǔn)(C類)提供：由控制電路要執(zhí)行的安全功能：——安全功能的名稱；——功能的描述；——按GB/T16855.1要求的性能等級(jí)：PL,a～e;或/和——按GB28526要求的安全完整性等級(jí)：SIL1～3。表1給出了基于每小時(shí)平均危險(xiǎn)失效概率的PL和SIL之間的關(guān)系。然而對(duì)于這些概率目標(biāo)，兩項(xiàng)標(biāo)準(zhǔn)還規(guī)定了其他要求(如系統(tǒng)安全完整性等),同樣也適用于安全相關(guān)控制系統(tǒng)。這些要求的嚴(yán)酷等級(jí)與各自的PL和SIL有關(guān)。3GB/T34136—2017/IEC/TR62061-1:2010表1基于每小時(shí)平均危險(xiǎn)失效概率的PL和SIL的關(guān)系性能等級(jí)(PL)每小時(shí)平均危險(xiǎn)失效概率(1/h)安全完整性等級(jí)(SIL)a10-?~<10-4無特殊安全要求b3×10-?~<10-51c10-?~<3×10-?1d10-?~<10-62e10-?~<10-37.1使用GB28526和GB/T16855.1進(jìn)行系統(tǒng)設(shè)計(jì)的一般要求——當(dāng)在各自限定范圍內(nèi)使用時(shí)，兩標(biāo)準(zhǔn)的任一個(gè)都可用于設(shè)計(jì)具有合適功能安全的安全相關(guān)控——按照GB/T16855.1設(shè)計(jì)具有相關(guān)PL的非復(fù)雜的安全相關(guān)部件可以作為子系統(tǒng)集成到按照GB28526設(shè)計(jì)的安全相關(guān)電氣控制系統(tǒng)中。任何按照GB/T16855.1設(shè)計(jì)相關(guān)PL的復(fù)雜安全相關(guān)部件都可以集成到按照GB/T16855.1設(shè)計(jì)的控制系統(tǒng)的安全相關(guān)部件?！魏伟凑誈B28526設(shè)計(jì)實(shí)現(xiàn)具有相關(guān)SIL的非復(fù)雜子系統(tǒng)都可以作為安全相關(guān)部件集成到按照GB/T16855.1設(shè)計(jì)的SRP/CS組合中?！魏伟凑誈B/T20438設(shè)計(jì)具有相關(guān)SIL的復(fù)雜子系統(tǒng)都可以作為安全相關(guān)部件集成到按照GB/T16855.1設(shè)計(jì)的SRP/CS組合中，或者作為子系統(tǒng)集成到按照GB28526設(shè)計(jì)的7.2.1PFHo和MTTF7.2.1.1GB/T16855.1中的MTTFa值與不帶診斷的單通道SRP/CS相關(guān)時(shí)，只在這種情況下為GB28526中PFHp的倒數(shù)。7.2.1.2MTTFa是不考慮任何給定因素(如診斷或架構(gòu))的部件和/或單通道的參數(shù)，而PFHp是考慮7.2.1.3GB/T16855.1的附錄K給出了以類別和診斷覆蓋率分類的不同架構(gòu)SRP/CS中MTTFa和PFHp的關(guān)系。的相似方法，以累加各SRP/CS的PFHp值(例如源于GB/T16855.1的附錄K)的方法計(jì)算。7.2.2.1兩項(xiàng)標(biāo)準(zhǔn)都允許故障排除的使用，見GB28526的6.7.7和GB/T16855.1的7.3。GB28526不允許SRECS在無硬件故障容錯(cuò)(在無硬件故障容錯(cuò)的情況下要求達(dá)到SIL3)的情況下，使用故障排除。4GB/T34136—2017/IEC/TR62061-1:20107.2.2.2使用故障排除，重要的是對(duì)它們的正確判斷和SRP/CS或SRECS預(yù)期生命周期有效。7.2.2.3通常，通過SRP/CS或SRECS實(shí)現(xiàn)安全功能為PLe或SIL3等級(jí)的地方，不應(yīng)僅單獨(dú)依賴于故障排除獲得這樣的性能等級(jí)。這取決于采用的技術(shù)和預(yù)期操作的環(huán)境。因此，設(shè)計(jì)者使用故障排除來增加PL或SIL,需要額外小心。7.2.2.4在SRP/CS或SRECS設(shè)計(jì)中為達(dá)到PLe或SIL3,故障排除不適用于機(jī)電位置開關(guān)和手操作開關(guān)(例如，緊急停止裝置)的機(jī)械部分。這些故障排除可以應(yīng)用的特定機(jī)械故障條件(如：磨損/腐蝕，斷裂)在GB/T16855.2—2007已經(jīng)描述。7.2.2.5例如，須達(dá)到PLe或SIL3的門聯(lián)鎖系統(tǒng)通常不通過排除故障(例如停止開關(guān)操動(dòng)器)來判斷，為了達(dá)到這樣的性能等級(jí)，將需要合并一個(gè)最小故障容錯(cuò)1(例如兩個(gè)傳統(tǒng)的機(jī)械位置開關(guān))。然而，排除按相關(guān)標(biāo)準(zhǔn)設(shè)計(jì)的控制面板內(nèi)布線電路短路的故障是可以接受的。7.2.2.6更多關(guān)于故障排除使用的信息見GB/T16855.2。7.3使用符合GB28526或GB/T16855.1的子系統(tǒng)或SRP/CS的系統(tǒng)設(shè)計(jì)7.3.1按照GB/T16855.1或GB28526設(shè)計(jì)的子系統(tǒng)或控制系統(tǒng)安全相關(guān)部分的所有情況，如果滿足相關(guān)系統(tǒng)等級(jí)標(biāo)準(zhǔn)的所有要求，才能聲稱與系統(tǒng)等級(jí)標(biāo)準(zhǔn)一致。7.3.2在子系統(tǒng)或控制系統(tǒng)安全相關(guān)部件部分的設(shè)計(jì)應(yīng)滿足相應(yīng)的GB28526或GB/T16855.1要求。允許符合一個(gè)以上充分滿足這些標(biāo)準(zhǔn)的要求。7.3.3當(dāng)設(shè)計(jì)子系統(tǒng)或者控制系統(tǒng)安全相關(guān)部件部分7.4使用已由其他標(biāo)準(zhǔn)設(shè)計(jì)的子系統(tǒng)或SRP/CS進(jìn)行系統(tǒng)設(shè)計(jì)7.4.1在系統(tǒng)設(shè)計(jì)中，可以選擇符合相關(guān)產(chǎn)品標(biāo)準(zhǔn)和GB/T20438、GB28526或GB/T16855.1的子系統(tǒng)(例如，電敏保護(hù)設(shè)備)。各種型號(hào)子系統(tǒng)的供應(yīng)商，宜依照GB28526或GB/T16855.1提供便于將子系統(tǒng)整合到安全相關(guān)控制系統(tǒng)的必要信息。7.4.2使用產(chǎn)品標(biāo)準(zhǔn)(例如GB/T12668.502—2013)設(shè)計(jì)的子系統(tǒng)(例如調(diào)速電氣傳動(dòng)系統(tǒng))實(shí)現(xiàn)了GB/T20438的要求，可以用于依照GB28526(見GB28526中6.7.3)和GB/T16855.1設(shè)計(jì)的安全相關(guān)控制系統(tǒng)中。7.4.3根據(jù)GB28526中的要求，使用其他標(biāo)準(zhǔn)設(shè)計(jì)的子系統(tǒng)要符合GB28526中6.7.3的規(guī)定。8示例以下示例假定已滿足兩項(xiàng)標(biāo)準(zhǔn)的所有要求。這個(gè)示例只是為了演示標(biāo)準(zhǔn)應(yīng)用的特定方面。8.2執(zhí)行規(guī)定的安全相關(guān)控制功能的安全相關(guān)控制系統(tǒng)的設(shè)計(jì)和確認(rèn)的簡(jiǎn)化示例8.2.1這個(gè)簡(jiǎn)化的示例，意為演示符合GB28526和/或GB/T16855.1的子系統(tǒng)或SRP/CS在SRECS/SRP/CS中的使用。這個(gè)示例是以實(shí)現(xiàn)安全功能為基礎(chǔ)，是與活動(dòng)式防護(hù)裝置的位置監(jiān)控關(guān)聯(lián)的安全相關(guān)停止功能，并且規(guī)定了安全完整性等級(jí)SIL3或所需的性能等級(jí)PL,e,如圖1中所示。5GB/T34136—2017/IEC/TR62061-1:2010安全功能消)。功能描述——通過活動(dòng)式防護(hù)裝置(防護(hù)柵)防護(hù)。聯(lián)鎖防斷開觸點(diǎn)/接通觸點(diǎn)組合，并由中央安全模塊K1進(jìn)行評(píng)估。K1使兩個(gè)接觸器Q1和Q2動(dòng)——位置開關(guān)被監(jiān)測(cè)是為了K1故障檢測(cè)的合理性。Q1和Q2中的故障由K1起動(dòng)試驗(yàn)來檢測(cè)。的操作或執(zhí)行(打開和閉合)期間可檢測(cè)故障； 基本的和經(jīng)驗(yàn)證過的安全規(guī)則得到遵守(例如，接觸器Q1和Q2的負(fù)載電流為其定額的6YY2GB/T34136—2017/IEC/TR62061-1:2010——保護(hù)裝置的牢固安裝，以確保位置開關(guān)正常動(dòng)作；——依照GB14048.5—2008附錄K,開關(guān)B1是帶有直接斷開功能的位置開關(guān)；——位置開關(guān)B1和B2的供電導(dǎo)線單獨(dú)放置或帶有保護(hù)。8.2.4下列是來自制造商的SRP/CS設(shè)計(jì)內(nèi)的每部分有效信息：——由制造商聲明，安全模塊K1滿足類別4、PLe和SILCL3的要求；——接觸器Q1和Q2具有符合IEC60947-5-1:2003中附錄L的要求的機(jī)械連接接觸元件。8.2.5SRP/CS和/或SRECS的設(shè)計(jì)宜注意：——只有在不同保護(hù)裝置的數(shù)個(gè)機(jī)械位置開關(guān)不是串聯(lián)(即不級(jí)聯(lián))連接的場(chǎng)合，才能實(shí)現(xiàn)類別4。8.2.6按照GB/T16855.1失效概率的計(jì)算：圖2示連有雙通道輸入輸出單元的邏輯子系統(tǒng)(安全模塊K1)。由于硬件層的抽象概念已經(jīng)在安全相關(guān)框圖中給出了，子系統(tǒng)序列原則上可以互換。因此，建議共用相同結(jié)構(gòu)的子系統(tǒng)組合在一起，如圖3所示。在評(píng)估時(shí)，通過減少通道的MTTFa次數(shù)限制到100年，可以簡(jiǎn)化PL的計(jì)算。B1Q1K1圖2安全相關(guān)框圖B1B1B1B1K1K1K1B2B2B2B2關(guān)鍵點(diǎn)：1——硬件相關(guān)表示：三個(gè)SRP/CS作為子系統(tǒng)；2——簡(jiǎn)化的邏輯表示：兩個(gè)SRP/CS作為子系統(tǒng)。圖3按照GB/T16855.1進(jìn)行計(jì)算的安全相關(guān)框圖安全模塊K1失效概率，由制造商聲明并加至計(jì)算結(jié)果[每小時(shí)2.31×10-?(制造商給定值),適用于PLe]。其余子系統(tǒng)，失效概率的計(jì)算如下：——MTTFa:1000000個(gè)周期的B?od值(制造商給定值)是為說明B1的機(jī)械部分。對(duì)于位置開關(guān)B2,B?oa值為500000個(gè)周期(制造商給定值)。以一年365個(gè)工作日，一天24個(gè)工作小時(shí)，以及900s(15min)的周期時(shí)間，由GB/T16855.1中式(C.2)和式(C.7)計(jì)算的部件每年的工作周期n。是35040。7GB/T34136—2017/IEC/TR62061-1:2010B2的T?oa值為14.3年。如果整個(gè)SRP/CS的預(yù)期任務(wù)時(shí)間為20年，當(dāng)超過14.3年時(shí)，B2將被替換?！獙?duì)于接觸器Q1和Q2,在感應(yīng)負(fù)載(AC3)下，B??值相應(yīng)為1000000個(gè)周期的電氣壽命(制造商給定值)。如果假定50%失效是危險(xiǎn)的，B?od的值為2倍的B?o值：——對(duì)于兩個(gè)通道，MTTFd通過使用GB/T16855.1中的式(D.1)計(jì)算：這里給定MTTFa,ch值為190年，MTTFa,ch?值為114年。依照GB/T16855.1兩個(gè)通道的MTTFa被限制到100年，在這種情況下，限制后兩個(gè)通道的MTTFa是相等的，不必執(zhí)行對(duì)稱?！狣Cavg:B1和B2取99%的DC是基于K1中斷開/連接觸點(diǎn)組合的合理監(jiān)測(cè)。接觸器Q1和Q2取99%的DC是源自K1起動(dòng)期間的定期監(jiān)測(cè)。對(duì)于每一個(gè)子系統(tǒng)陳述的DC值相當(dāng)于DCavg。DCavg值可以根據(jù)GB/T16855.1中的式(E.1)計(jì)算。由于每個(gè)單獨(dú)的DC都是99%,所以DCavg也是99%?！谧酉到y(tǒng)B1/B2和Q1/Q2中有足夠的防共因失效措施(70點(diǎn)):分離(15),經(jīng)驗(yàn)證的部件(5),防止過壓等(15)和環(huán)境條件(25+10)?！蝿?wù)時(shí)間：作為GB/T16855.1的簡(jiǎn)化方法，假設(shè)任務(wù)時(shí)間為20年?！酉到y(tǒng)B1/B2/Q1/Q2對(duì)應(yīng)具有高M(jìn)TTFa(100年)和高DCavg(99%)的類別4。這導(dǎo)致每小時(shí)2.47×10-?的危險(xiǎn)失效平均概率(見GB/T16855.1中表K.1)。下列附加的子系統(tǒng)K1,危險(xiǎn)失效平均概率為每小時(shí)2.70×10-8。這相當(dāng)于PLe。8.2.7按照GB28526計(jì)算失效概率。8.2.7.1依照GB28526中6.6.2,電路安排可分成三個(gè)子系統(tǒng)：B1/B2,K和Q1/Q2,如安全相關(guān)框圖所示。8.2.7.2對(duì)于子系統(tǒng)K的失效概率為每小時(shí)2.31×10-?和安全模塊K1的安全完整性等級(jí)3是由制造商給定的。8.2.7.3對(duì)于其他的子系統(tǒng)，失效概率可以估計(jì)如下：——子系統(tǒng)Bl/B2:B?oa值為1000000周期(制造商給定值)是為Bl的機(jī)械部分規(guī)定的。對(duì)于位置開關(guān)B2,B?oa值為500000周期(制造商給定值)。以每年365個(gè)工作日，每天24個(gè)工作小時(shí)和15min的周期時(shí)間，這些部件的C值為每小時(shí)4周期。失效率計(jì)算為：0.1×C/B?od=4×10-7每8小時(shí)。B2給定的失效率為每小時(shí)8×10-?。——子系統(tǒng)的邏輯結(jié)構(gòu)相當(dāng)于圖4中給出的GB28526中6.7.8.2.5的圖D。圖4子系統(tǒng)D的邏輯表示 子系統(tǒng)元素(開關(guān)B1和B2)設(shè)計(jì)不同，因此以下公式(GB28526中的6.7.8.2.5的公式D.1)可用于確定子系統(tǒng)的PFHp。λDaD=(1-β)2{[λna×λn?×(DC?+DC?)]×T?/2+[λna×λna×(2-DPFHoD=λDaD×1小時(shí)式中：T?診斷試驗(yàn)間隔，對(duì)于子系統(tǒng)B1/B2,它是15min;T?——驗(yàn)證試驗(yàn)間隔或生命周期的較小值。對(duì)于子系統(tǒng)B1/B2,基于最低子系統(tǒng)元素T?oa值(見GB/T16855.1,C.4.2)給定的使用率，生命周期間隔為125000h(14.3年)。開關(guān)B2具有最低的T?oa值。驗(yàn)證試驗(yàn)間隔(見GB28526前言)假定為20年(175200h),要比壽命周期長(zhǎng)。所以T?為125000h。β——共因失效敏感性。由GB28526的附錄F簡(jiǎn)化方法中的42點(diǎn)導(dǎo)出其值為5%(0.05)。分離(5+5+5),評(píng)估/分析(9)和環(huán)境條件(9+9)。λDe?——子系統(tǒng)元素1的危險(xiǎn)失效率。對(duì)于開關(guān)B1,它等于每小時(shí)4×10-?(見上述)。DC?——子系統(tǒng)元素1的診斷覆蓋率。基于與K1相連的B1和B2的斷開/連接觸點(diǎn)的合理性監(jiān)測(cè)，開關(guān)B1的估計(jì)值應(yīng)為99%。λDe?——子系統(tǒng)元素2的危險(xiǎn)失效率。對(duì)于開關(guān)B2,它等于每小時(shí)8×10-?(見上述)。DC?——子系統(tǒng)元素2的診斷覆蓋率?；谂cK1相連的B1和B2的斷開/連接觸點(diǎn)的合理性監(jiān)測(cè)，開關(guān)B2的估計(jì)值應(yīng)為99%。8.2.7.4將上述數(shù)據(jù)輸入公式得出PFHp值為3.04×10-8。8.2.7.5同樣，對(duì)于子系統(tǒng)Q1/Q2:接觸器Q1和Q2在感應(yīng)負(fù)載(AC3)下有10?周期電氣壽命相應(yīng)的9GB/T34136—2017/IEC/TR62061-1:2010B?o值(制造商給定)。如果假設(shè)50%的失效是危險(xiǎn)的，那么B?oa的值為2倍的B?o值。對(duì)于上述假定值C,每個(gè)接觸器的失效率均為每小時(shí)2×10-?。8.2.7.6子系統(tǒng)Q1/Q2的邏輯結(jié)構(gòu)相當(dāng)于GB28526中6.7.8.2.5的圖D。子系統(tǒng)元素(接觸器Q1和Q2)設(shè)計(jì)相同，因此式(D.1)用于確定子系統(tǒng)的PFHp:λD?D=(1-β)2{[λp2×2×DC]×T?/2+[λbe2×(1-DC)]×T?}+β×λDePFHpssD=λDssD×1小時(shí)式中：T?——診斷試驗(yàn)間隔；對(duì)于子系統(tǒng)Q1/Q2,該值為15min;T?——驗(yàn)證試驗(yàn)或生命周期中的較小值；對(duì)于子系統(tǒng)Q1/Q2,基于子系統(tǒng)元素T?od值(見GB/T16855.1,C.4.2)給定的使用率，生命周期為500000h(57.1年)。驗(yàn)證試驗(yàn)間隔(見GB28526前言)假定為20年(175200h),比生命周期短。所以T?的值為175200h。λDe——每個(gè)子系統(tǒng)(接觸器Q1和Q2)的危險(xiǎn)失效率每小時(shí)2×10-?(見上述)。DC基于由K1起動(dòng)期間對(duì)機(jī)械連接的鏡像觸點(diǎn)的定期監(jiān)測(cè)，每個(gè)子系統(tǒng)元素(接觸器Q1和Q2)的診斷覆蓋率為99%。β——共因失效敏感性。由GB28526的附錄F簡(jiǎn)化方法中的42點(diǎn)導(dǎo)出其值為5%(0.05)。分離(5+5+5),評(píng)估/分析(9)和環(huán)境條件(9+9)。將上面的數(shù)據(jù)輸入公式得出PFHp值為1.01×10-8。8.2.7.7子系統(tǒng)B1/B2和Q1/Q2受GB28526中表5給出的結(jié)構(gòu)限制，見表2。表2使用子系統(tǒng)的SRCF可能要求的子系統(tǒng)最大SILCL的結(jié)構(gòu)限制安全失效系數(shù)硬件故障容錯(cuò)012不允許N級(jí)硬件故障容錯(cuò)意味著N+1個(gè)故障可導(dǎo)致安全相關(guān)控制功能的喪失；本標(biāo)準(zhǔn)不考慮SIL4要求限度(有關(guān)SIL4見GB/T20438.1);“見GB28526的6.7.6.4,或?qū)赡軐?dǎo)致危險(xiǎn)失效的故障使用了故障排除的子系統(tǒng)，見6.7.78.2.7.8每個(gè)子系統(tǒng)都有安全失效系數(shù)99%(基于他們的DC)和硬件故障容錯(cuò)1。那樣為每個(gè)子系統(tǒng)產(chǎn)生SILCL(SIL聲明限制)3。8.2.7.9對(duì)于子系統(tǒng)K1,PFHp值為每小時(shí)2.31×10-?,SILCL3由制造商聲明(見上述)。8.2.7.10基于最低SILCL聲明的最大SIL值為3。8.2.7.11每個(gè)子系統(tǒng)的PFHp值加到一起：3.04×10-?(子系統(tǒng)Bl/B2)+2.31×10-?(子系統(tǒng)K)+1.01×10-?(子系統(tǒng)Q1/Q2)=4.28×10-8這滿足GB28526表3中給出的從10-8至小于10-7范圍。因此，如果GB28